每个角色均包括关于哪些人可以成为该角色的成员、管理员或所有者的规则。 因此,用户可以是一个角色或多个角色的成员,也可以不属于任何角色。
成员、管理员和所有者规则将使用下表中的条件:
|
规则条件 |
示例 |
规则语法 |
|---|---|---|
|
用户必须与一个属性值相匹配。
|
Users where title starts with senior |
where <用户筛选> |
|
用户必须与多个属性值相匹配。 |
职位=经理且位置=东部的用户 |
where <用户筛选> |
|
用户必须属于指定的组织。 |
销售部门及下级组织中的用户 |
in <组织规则> |
|
用户必须属于符合组织属性指定条件的组织。 |
Users in organizations where Business Type=gold or platinum |
in organizations where <组织筛选> |
|
用户必须属于特定组织并与特定的用户属性相匹配。
|
职位=经理、位置=东部,且于销售或营销组织中的用户 |
where <用户筛选> and who are in <组织规则>
|
|
用户必须属于特定组。 |
属于 401K 组成员的用户 |
who are members of group <组> |
|
用户必须是某个角色的成员。 |
属于“帮助中心”角色成员的用户 |
who are members of <角色规则> |
|
用户必须是某个角色的管理员。 |
属于“销售经理”角色管理员的用户 |
who are administrators of <角色规则> |
|
用户必须是某个角色的所有者。 |
属于“用户经理”角色所有者的用户 |
who are owners of <角色规则> |
|
用户必须属于满足组属性指定条件的组。 |
属于所有者=CIO 的组成员的用户 |
who are members of group <组筛选>
|
|
用户必须满足 LDAP 查询的条件。 |
(在 Identity Manager 用户控制台中创建的查询条件不充分时,使用 LDAP 目录) |
ldap_query 查询返回的用户 |
某些规则可能会涉及将一个值与多值属性进行比较。 对于要应用的规则,多值属性中必须至少有一个值满足该规则。 例如,如果该规则为“属性 A 等于 1”且用户 X 的属性 A 的值为 1、2、3,则用户 X 满足该标准。
创建角色的用户可能无法修改该角色。 为了能修改角色,该用户必须符合所有者规则中的条件。
注意:在大型实施中,可能需要花费大量的时间来评估成员、管理员和所有者规则。 要缩短包括用户属性的规则的评估时间,您可以启用内存中的评估选项。 有关详细信息,请参阅《Configuration Guide》。
|
版权所有 © 2014 CA。
保留所有权利。
|
|